ささきです。リプライありがとうございます。 On Sun, 16 Dec 2007 19:56:35 +0900 Yoshisato YANAGISAWA <[メールアドレス保護]> wrote:
> On Sun, 16 Dec 2007 12:08:51 +0900 > SASAKI Katuhiro > <[メールアドレス保護]> > wrote: > > > "sshd[1658]: fatal: login_get_lastlog: Cannot find account for uid 1000" > > 先のエラーはでなくなったのでnss_ldapは正常にはたらいていると思ったので > > すが、やはり正常に動作していないのでしょうか? ご意見を聴かせていただき > > たく思います。 > > /etc/pam.d/sshdにpam_ldap関連の設定は要りませんでしたか? > いじってたのが去年のことなので記憶が曖昧なのですが、 > あのときはpam.dの中にldap関連の設定をしないといけなかった記憶があります。 > ……よく考えてみたら、sshに関しては"UsePAM no"にしていました。お恥ずかし い。で、sshではログインまでは成功するのですが、直後に接続が切れる状態で す。 で、切り分けのためにコンソールからログインしてみました。ログイン自体は 成功するのでPAM認証はうまくいっている模様です。その後sudoコマンドを使お うとすると"sudo: uid 1000 does not exist in the passwd file!"となるの で、やはりnss がらみかなぁ、と。 > 当時参考にした文献を見ても、やはり/etc/pam.d以下に設定をしていました。 > http://www.cultdeadsheep.org/FreeBSD/docs/Quick_and_dirty_FreeBSD_5_x_and_nss_ldap_mini-HOWTO.html > http://www.abk.nu/~nabe/document/openldap.htm > ありがとうございます。参考にします。 > 余談ですが、自分のところはpam_ldapを使っていません。 > pam_ldapで認証する際はパスワードが平文でネットワークを流れます。 > ですね。わたしも上記のようにsshdはPAMを無効にしてRSA認証で使っていま す。あと、平文でパスワードが流れるのを防ぐために/etc/rc.confで次のように 設定しています。ネットワーク経由での接続を無効にしてソケットでのみ通信さ せています。 "slapd_flags='-h"ldapi://%2fvar%2frun%2fopenldap%2fldapi/"'" > もちろん、SSLでLDAPサーバーとの通信を行うことでこれは防げますが、 > サーバーがSSLに対応していなかったために諦めて、Kerberosを使いました。 > いちおうSSL対応にはしてあるので、設定さえすればだいじょうぶなのです が、とりあえずテスト段階ということで。 以上です。ありがとうございました。
